Alm e ATLM - A importância dos lifecycles no desenvolvimento de software
OWASP Chapter Cuiabá
1.
2. OWASP Chapter Cuiabá
Kembolle Amilkar A.K.A O.liverkall
# Technology Analysis and Systems Development;
# Post - Graduate in Information Security;
# Post - Graduate in Business Process Management and Information Technology;
# Chief Security Officer - [CSO] Samuray Consulting;
# Member Chapter Owasp Cuiabá;
# MemberUser FreeBSD Brasil;
# Member Coletivo Jovem de Mato Grosso - CJMT;
# Member Exploit's Brasil – 2012;
# Member [ BUS ] Brazil Underground Security – 2012;
# Research Information Security and Psychoanalysis Forensic;
Home: www.kembolle.com.br | Home: www.owasp.org
Email: contato[at]kembolle.com.br | Email: kembolle[at]owasp.org
3. Introdução:
*| Partner '$
*| O que é a OWASP ?
*| Estrutura OWASP;
*| Projetos;
*| ToolboX;
*| Conferências;
*| Como Contribuir;
10. A Fundação OWASP é uma organização
internacional sem fins lucrativos, registrada
sob o 501c3 (IRS) US e não possui nenhuma
associação com produtos ou serviços
comerciais.
Todas as ferramentas, documentos, fóruns, e
capítulos da OWASP são livres e abertos para
qualquer pessoa que estiver interessada em
melhorar a segurança de aplicações.
11. Principais Valores
ABERTO – Tudo no OWASP é radicalmente
transparente, das finanças ao código.
INOVAÇÃO – OWASP encoraja e apoia
inovações/experimentos para solucionar os desafios da
segurança de aplicações.
GLOBAL – Qualquer pessoa no mundo é encorajada a
participar da comunidade da OWASP
INTEGRIDADE – OWASP é uma comunidade global,
honesta e confiável e um fornecedor neutro.
12. O Open Web Application Security Project (OWASP)
é um projeto open source voltado para promover a segurança de aplicações no uso por
empresas, entidades educacionais e pessoas em todo o mundo. Todos os membros são
voluntários que dedicam seu tempo e energia para a organização.
Os membros da OWASP, com apoio de organizações educacionais e comerciais formam
uma comunidade de segurança que trabalha em conjunto para criar metodologias,
documentação, ferramentas e tecnologias para a segurança das aplicações web.
Toda essa estrutura é fomentada por patrocinadores. Existem duas principais formas de
patrocinar a fundação: associando-se como empresa ou individualmente ou por meio de
patrocínio de projetos.
Entre seus patrocinadores empresariais estão nomes como: Amazon, Adobe, Qualys,
Nokia, IBM, (ISC)², Oracle entre outras grandes empresas.
14. Voluntários
Sustentado por:
Compartilhamento de conhecimento;
Liderança de projetos e pessoas;
Apresentações em eventos;
Administração
Financiada por patrocinadores
Sustentado por:
Membership individuais/empresariais;
Projetos suportados por empresas;
Propagandas no website;
15. Conselho Diretor
Jeff Williams - EUA
jeff.williams@owasp.org
Sebastien Deleersnyder - Bélgica
seba@owasp.org
Tom Brennan - EUA
tomb@owasp.org
Eoin Keary - Irlanda
Eoin.Keary@owasp.org
Dave Wichers - EUA
dave.wichers@owasp.org
Matt Tesauro - EUA
Matt.Tesauro@owasp.org
16.
17.
18. Centenas Capitulos Locais mas somente por volta de 80 estão ativos;
http://www.owasp.org/index.php/Category:Brasil
Belo Horizonte,
Brasília,
Campinas,
Cuiabá,
Curitiba,
Fortaleza,
Goiânia,
Maceió,
Manaus,
Natal,
Paraíba,
Porto Alegre,
Recife,
Rio de Janeiro,
São Luís,
São Paulo,
Vitoria,
Florianópolis.
20. O Software Assurance Maturity Model (SAMM)
È uma estrutura aberta para ajudar as organizações a formular e implementar uma
estratégia para a segurança de software que é adaptado para os riscos específicos
enfrentados pela organização. Os recursos fornecidos pelo SAMM ajudará em:
0x01 / Avaliação de uma organização existente a práticas de segurança de software;
0x02/ Construir um programa de segurança equilibrada e bem definidas;
0x03/ Demonstrando melhorias concretas para um programa de garantia de segurança;
0x04/ Definir e medir a segurança actividades relacionadas com o mesmo dentro de uma
organização;
21.
22. ESAPI (A OWASP Enterprise Security API)
È uma fonte livre, aberta de aplicação web,e biblioteca de controle de segurança que
torna mais fácil para os programadores escrevam suas aplicações de baixo risco. As
bibliotecas ESAPI são projetadas para tornar mais fácil para os programadores um
retrofit de segurança em aplicações existentes.
As bibliotecas ESAPI serve tambem como uma base sólida para novos
Desenvolvimentos onde Há um conjunto de interfaces de controle de segurança.Eles
definem os tipos de exemplo de parâmetros que são passados para os tipos de
controles de segurança. Existe tambem uma implementação de referência para cada
controle de segurança.
23.
24. CLASP (Comprehensive, Lightweight Application Security Process)
- Metodologia de desenvolvimento seguro de software orientada a atividades e papéis,
que descreve melhores práticas para projetos novos ou em andamento.
São propostas 24 atividades divididas em componentes de processos discretos ligados a
um ou mais papéis de um projeto. Desta forma,o CLASP provê um guia para
participantes de um projeto:
Gerentes,
Auditores de Segurança,
Desenvolvedores,
Arquitetos e Testadores.
Resumindo é um checklist de Segurança ;)
25. A estrutura do processo é dividida em cinco perspectivas,denominadas Visões
CLASP.
Cada Visão, por sua vez,é dividida em atividades, que contém os componentes
do processo. São as Visões:
Visão Conceitual;
Visão de Papéis;
Visão de Avaliação de Atividade;
Visão de Implementação de Atividade;
Visão de Vulnerabilidades;
26.
27. O OWASP Application Security Verification Standard (ASVS)
- Foi projetado para normalizar o intervalo no nível de cobertura, de rigor e os requisitos
de informação disponíveis no mercado quando se trata de proceder às verificações de
segurança do aplicativo.
Use como uma métrica - Fornecer aos desenvolvedores de aplicativos e proprietários de
aplicativos com um ponto de referência que permitam avaliar o grau de confiança que
pode ser colocado em seus
aplicativos da Web;
Use como guia - Orientar os desenvolvedores de controle de segurança sobre o que
construir em controles de segurança, a fim de satisfazer os requisitos de segurança de
aplicativos;
Use durante a colheita - Fornecer uma base para a especificação de requisitos de
aplicação de verificação de segurança nos contratos.
31. CAL9000
CAL9000 é uma coleção de ferramentas de segurança de aplicações web de teste, que
complementam o conjunto de recursos de web proxies atuais e scanners automatizados.
Hand' on ;)
32. NetCAT – O Canivete suiço do TCP/IP
O Netcat é uma
ferramenta simples e
eficaz para realização de
consultoria em redes;
portscanner,remote
shell,dentre outros.
Hand ON ;)
Webshells & Netcat
33. Mantra - Security Framework
È uma coleção de ferramentas de código livre e aberto integrado a um
navegador web, que pode se tornar acessível para os alunos,desenvolvedores
de aplicações web, profissionais de segurança, etc, portátil, ready-to-run,
compacto e segue a verdade espírito de software livre e de código aberto.
"Uma espada nunca mata ninguém, é apenas uma ferramenta na mão do
assassino." - Lucius Annaeus Seneca ( Advogado Romano);
www.getmantra.com
Hand 'on ;)
41. Junte-se a nós e torne-se um Associado!
* Financia manutenção dos projetos;
* Referência no site (Empresas);
* Descontos em conferências e treinamentos;
* Participe das Eleições Globais e vote em questões que moldam a direção da
comunidade;
* Aumente sua rede pessoal de contatos (Network);
Quanto?
Individual: 50 dólares anuais
http://www.owasp.org/index.php/Membership
42. O que OWASP Ofereçe?
Publicações, artigos e padrões
*OWASP Top 10;
*OWASP Guide;
*Testing Guide;
Softwares de Teste e Treinamento
*WebGoat;
*WebScarab;
*Capítulos locais, Listas de discussão e conferências;
Livre distribuição (licenças GNU LGPL e GFDL / CC)
43. Conecte-se a OWASP Chapter Cuiabá
Membros OWASP Chapter Cuiabá
* Marcos Marrafão;
* Marcelo Parada;
* João Medeiros;
* Debora Cristina;
* Kembolle Amilkar;
Mais alguem ???? :)
Homepages:
Owasp Cuiabá:
https://www.owasp.org/index.php/Cuiaba
Lista de Discussão: https://lists.owasp.org/mailman/listinfo/owasp-cuiaba
Blog:
http://owasp-cuiaba.blogspot.com.br